IPマスカレードしてるのにパケットフィルタがどうにも強すぎて思ったような通信が出来ないので、
マスカレードとファイヤーウォールルールの適用タイミングがどうなってんのか調べたら、
FAQの一番最初にあった。
ここの一番下
マスカレード後にもフィルタルールは適用されるようだ。
よく考えればそうだよな・・・。
ファイヤーウォールの構築において、暗黙のdeny使うルールをベースに考える場合、
外部から通信が始まる通信を伴うようなとき(ポート開けが必要になるとき)は
- IPマスカレードテーブルに通信するPCへのルールを書く
- ファイヤーウォールルールに透過ルールを追加
の二段階の手続きが必要なことが分かった。
スループットの問題もあるし、ちょっとパケットフィルタルールを考えないといけないかな・・・・。